根据 Cyber Security NSW 的 2022 年审查报告，新南威尔士州政府的漏洞猎手去年在新南威尔士州政府系统中发现了 22,000 多个漏洞。 这份在政府进入看守模式之前发布的报告指出，网络安全团队在新南威尔士州的巴瑟斯特镇工作。报告称，新南威尔士州网络安全团队应要求对新南威尔士州政府系统进行外部扫描，发现了 22,000 多个漏洞。 报告称，扫描还检测并报告了 23 项“敏感信息泄露”。 该报告的另一个亮点是该机构测试了机构和委员会 Windows 网络中的密码强度，并在之前的数据泄露事件中发现了 14 个实体中的 77,000 个。 Log4j 漏洞也是该机构2022年的关键任务，该漏洞于2021年底出现。 虽然它没有透露在政府系统中发现了多少 Log4j 实例，但新南威尔士州网络安全局表示：“新南威尔士州的几个政府实体观察到扫描活动和利用企图，其中一些将整个系统离线作为预防措施，直到补丁发布，测试和实施。” Cyber Security NSW 的直接 Log4j 活动包括传播建议、与利益相关者会面以“确定功能和修补状态”，以及举办信息会议以帮助委员会。 解决审计问题 2月，新南威尔士州审计长批评新南威尔士州网络安全局在向委员会提供的服务方面存在不足，并且未对机构网络安全成熟度评估进行审计。 在回顾的一年中，该机构表示，其对该审计的部分回应将于7月1日交付，并表示将“包括一种保证方法，以协助新南威尔士州政府机构持续评估和报告其对新南威尔士州网络安全政策的遵守情况” . “此外，它将更清楚地说明网络安全成熟度和提升战略，”报告指出。 去年，向新南威尔士州政府机构提供了网络安全提升工具包。去年年底还制定了新南威尔士州地方政府的安全指南。 网络安全新南威尔士州指出，“资金仍然是机构和委员会实现网络安全目标的关键挑战”。 该组织补充说，它还创建了一份首份2022 年新南威尔士州政府网络威胁报告，分析了各机构遇到的事件，但表示这是一份受限文件，因此不会公开。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/cWglYT4bN9skUzGHOGxBqA 封面来源于网络，如有侵权请联系删除

威胁情报研究机构 Cisco Talos 周四表示，其观察到 APT38（又名 Lazarus）在今年 2-7 月期间，针对美国、加拿大和日本的未具名能源供应商发起了攻击。研究发现，黑客利用了在 Log4j 中存在一年之久的漏洞（即 Log4Shell），来破坏暴露在互联网上的 VMware Horizon 服务器。 （来自：Cisco Talos） 通过在受害企业网络上建立初始立足点，然后部署被称作“VSingle”的定制恶意软件和“ YamaBot”，以建立长期持久的访问。 早些时候，YamaBot 已被日本国家网络应急响应小组（CERT）认定与 Lazarus APT 组织有关。 今年 4 月，Symantec 率先披露这一间谍活动的细节，并将该行动归咎于“Stonefly”—— 这是另一个与 Lazarus 有部分重叠、且有朝方背景的黑客组织。 此外 Cisco Talos 观察到了一个名为“MagicRAT”、此前从未见过的远程访问木马（RAT），可知黑客利用这个归属于 Lazarus Group 的木马而开展了侦查并窃取凭据。 Talos 研究人员 Jung soo An、Asheer Malhotra 和 Vitor Ventura 写道： 这些攻击的主要目标，可能是建立对目前网络的长期访问权限，以开展朝方支持的间谍活动。 这项活动与历史上针对关键基础设施和能源公司的 Lazarus 入侵相一致，旨在建立长期获取专有知识产权的途径。 【背景资料】 Lazarus Group 被认定为一个有朝方背景、且出于经济动机的黑客组织，其以 2016 年针对索尼的黑客攻击、以及 2017 的 WannaCry 勒索软件活动而出名。 最近几个月，该组织又将目光瞄向了区块链和加密货币组织，比如从 Harmony 的 Horizon Bridge 窃取了 1 亿美元的加密资产、以及从 Ronin Network 盗走了 6.25 亿美元的加密货币。 后者是一个基于以太坊的侧链，专为《Axie Infinity》这款热门赚钱游戏而设计。7 月，美国政府悬赏千万美元征求包括 Lazarus 在内的威胁组织的成员信息、达到了美国国务院 4 月宣布的金额的两倍。 转自 CnBeta，原文链接：https://www.cnbeta.com/articles/tech/1314237.htm 封面来源于网络，如有侵权请联系删除

负责调查全球计算机网络安全事件的独立机构周四表示，去年年底被广泛利用的Apache Log4j Java库中发现的漏洞在未来许多年里仍将是一个威胁。美国国土安全部网络安全审查委员会的首份报告发现，尽管联邦和私营部门的组织努力保护他们的网络，但Log4j已经成为一个”区域性漏洞”–这意味着这个无处不在的软件库的未打补丁版本将在未来十年，甚至更长时间内留在系统中。 “这个事件还没有结束。风险仍然存在。网络防御者必须保持警惕，”美国国土安全部负责政策的副部长兼小组主席Rob Silvers在周三的电话会议上告诉记者。 该报告是该委员会大约五个月的工作成果，该委员会是去年作为乔·拜登总统的全面行政命令的一部分而成立的，旨在改革联邦政府的网络安全应对方法。 这个由15人组成的小组–松散地仿照国家运输安全委员会（NTSB），由来自公共和私营部门的官员组成–在2月份受命调查Log4j的弱点是如何发生的，并提出数字安全界可以从全球反应中吸取的教训。 西尔弗斯说，董事会成员对大约80个组织进行了访谈，并与行业、外国政府和安全专家接触，以获取信息。 总的来说，委员会提出了19项建议，供各实体在对Log4j保持警惕时采纳。Google安全工程副总裁、小组副主席希瑟-阿德金斯（Heather Adkins）告诉记者，委员会的结论还鼓励提高网络社区的安全标准，特别是软件开发人员”资源稀缺”和基于志愿者的开源部门。她说：”我们希望我们的发现对社区来说既是鼓舞人心的，但也不是令人惊讶或无法实现的。” 国土安全部部长亚历杭德罗-马约尔卡斯在一份声明中说，审查为政府和行业提供了”明确的、可操作的建议，国土安全部将帮助实施这些建议，以加强我们的网络复原力，推进对我们的集体安全至关重要的公私伙伴关系”。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1292507.htm 封面来源于网络，如有侵权请联系删除

导  读 作为朝鲜最著名的黑客组织之一，Lazarus 利用称为“NukeSped”的 Log4J RCE 漏洞在 VMware Horizon 服务器上注入后门，以检索信息窃取有效载荷。CVE-2021-44228 (log4Shell) 是已被跟踪并识别此漏洞的 CVE ID，它影响了包括 VMware Horizon 在内的多种产品。 自今年1月份以来，多个威胁参与者都在利用此漏洞，1 月份 VMware 敦促客户修补关键的 Log4j 安全漏洞，这些漏洞会影响以持续攻击为目标的暴露于Internet的VMware Horizon 服务器 。 Ahnlab的 ASEC 的网络安全分析师声称，自 2022 年 4 月以来，Lazarus 组织背后的威胁行为者一直通过 Log4Shell 攻击易受攻击的 VMware 产品。   VMware Horizon 服务器是目标 通过运行这个 PowerShell 命令，很可能会安装服务器上的 NukeSped 后门。 NukeSped 等后门恶意软件能够从 C&C 服务器接收命令并代表攻击者执行这些命令。2018 年夏天，NukeSped 与隶属于朝鲜的黑客有关联，然后与 Lazarus 发起的 2020 年活动有关。 在最新的变体中，C++ 语言是首选语言，并且使用 RC4 加密确保与 C2 的安全通信。在之前的版本中，使用了 XOR 加密。   运营 在妥协的条件下，NukeSped 执行各种间谍活动，我们在下面提到： 截图 记录按键操作 访问文件 支持命令行命令 目前，有两个模块是当前 NukeSped 变体的一部分，一个用于从 USB 设备转储内容，另一个允许您访问网络摄像头。   数据目标 有几种类型的数据可以被恶意软件窃取，下面将提到它们：   账户凭证 浏览记录 电子邮件帐户信息 MS Office 中最近使用的文件的名称 在某些攻击中，通过 Log4Shell 可以看到 Lazarus 使用 Jin Miner 而不是 NukeSped。   最近的 Lazarus 事件是第二个已知的恶意软件活动示例，该恶意软件活动在针对 Windows 的活动中使用 LoLBins。另一个是在 macOS 和 Windows 计算机上使用加密挖掘恶意软件。 为了突出黑客组织用于攻击的各种策略，除此之外还有对 Log4Shell 的利用。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/EQzzlRDUkoSv5wTAhu8E8w 封面来源于网络，如有侵权请联系删除

在过去的一周时间里，对于 IT 管理员来说无疑是非常忙碌的，他们正在争分夺秒地应对影响世界各地系统的 Log4j 漏洞。随着安全专家不断发现日志工具中的更多漏洞，IT 管理员不知疲倦地工作，以确定和关闭任何可能使漏洞被利用的潜在访问。不幸的是，一个新发现的载体已经证明，即使是没有互联网连接的孤立系统也可能有同样的脆弱性，这使已经很严重的问题进一步复杂化。 Blumira 公司的研究人员提供了更多坏消息。虽然以前的发现表明，受影响的系统需要某种类型的网络或互联网连接，但这家安全公司最近的发现，作为本地主机运行、没有外部连接的服务也可以被利用。这一发现为研究人员指出了更多的使用案例，概述了破坏运行 Log4j 的未打补丁资产的其他方法。 Blumira 首席技术官 Matthew Warner 的一篇技术文章概述了恶意行为者如何影响脆弱的本地机器。Warner 说，WebSockets 是允许网络浏览器和网络应用程序之间快速、高效通信的工具，可以用来向没有互联网连接的脆弱应用程序和服务器提供有效载荷。这种特定的攻击媒介意味着，只要攻击者利用现有的 WebSocket 发送恶意请求，就可以破坏未连接但脆弱的资产。Warner 的帖子详细介绍了恶意行为者发起基于 WebSocket 的攻击的具体步骤。 Warner 指出，有可用的方法，组织可以用来检测任何现有的Log4j漏洞。 1. 运行 Windows PoSh 或者 cross platform，旨在识别本地环境中使用Log4j的地方 2. 寻找任何被用作”cmd.exe/powershell.exe”的父进程的.*/java.exe实例 3. 确保你的组织被设置为检测Cobalt Strike、TrickBot和相关常见攻击工具的存在。 受影响的组织可以将其 Log4j 实例更新到 Log4j 2.16，以缓解该工具的漏洞。这包括任何组织可能已经应用了以前的补救措施，即2.15版，该版本后来被发现包括其自身的一系列相关漏洞。   （消息及封面来源：cnBeta）